Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x ou posterior: Instruções de NAT e PAT

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Interativo: Este documento oferece uma análise personalizada de seu dispositivo Cisco.

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
O Comando nat-control
      Instruções Múltiplas de NAT com NAT 0
Pools Globais Múltiplos
      Diagrama de Rede
Instruções Globais de NAT e PAT Mistas
      Diagrama de Rede
Instruções NAT Múltiplas com Lista de Acesso NAT 0
      Diagrama de Rede
Uso de NAT com Base em Políticas
      Diagrama de Rede
NAT Estático
      Diagrama de Rede
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta exemplos de configurações básicas dos mecanismos de Tradução de Endereço de Rede (NAT) e Tradução de Endereço de Porta (PAT) nos Cisco PIX/ASA Security Appliances. Diagramas de rede simplificados são fornecidos. Consulte a documentação do PIX/ASA correspondente à sua versão do PIX/ASA Software para obter informações detalhadas.

Consulte Usando os Comandos nat, global, static, conduit e access-list e o Redirecionamento (Encaminhamento) de Portas no PIX para saber mais sobre os comandos nat, global, static, conduit e access-list e o Redirecionamento (Encaminhamento) de Portas no PIX 5.x ou posterior.

Consulte Usando Instruções de NAT e PAT no Cisco Secure PIX Firewall para obter mais informações sobre os exemplos de configurações básicas de NAT e PAT no Cisco Secure PIX Firewall.

Nota: Há suporte ao NAT no modo transparente a partir do PIX/ASA versão 8.x. Consulte NAT no Modo Transparente para saber mais.

Pré-requisitos

Requisitos

Os leitores deste documento devem ter conhecimento sobre os Cisco PIX/ASA Security Appliances.

Componentes Utilizados

As informações neste documento baseiam-se nesta versão de software:

  • Cisco PIX 500 Series Security Appliance Software versão 7.0 ou posterior.

Nota:  A certificação deste documento foi refeita para o PIX/ASA versão 8.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

O Comando nat-control

O comando nat-control no PIX/ASA especifica que todo o tráfego que atravessa o firewall deve possuir uma entrada de conversão específica (instrução nat com uma instrução static ou global correspondente) para poder passar pelo firewall. O comando nat-control garante que o comportamento da conversão seja o mesmo que nas versões do PIX Firewall anteriores à 7.0. A configuração padrão do PIX/ASA versão 7.0 ou posterior é a especificação do comando no nat-control. No PIX/ASA versão 7.0 ou posterior, você poderá alterar esse comportamento ao executar o comando nat-control.

Com o comando nat-control desabilitado, o PIX/ASA encaminha os pacotes de uma interface de segurança mais alta para uma interface menos segura sem precisar de uma entrada de conversão específica na configuração. Para transmitir tráfego de uma interface de menor segurança para uma de maior segurança, use listas de acesso para permitir o tráfego. O PIX/ASA encaminha então o tráfego. Este documento enfatiza o comportamento do PIX/ASA Security Appliance com o nat-control habilitado.

Nota: Se desejar remover ou desabilitar a instrução nat-control no PIX/ASA, você deverá remover todas as instruções de NAT do Security Appliance. Em geral, é necessário remover o NAT antes de desativar o nat-control. Você deverá reconfigurar a instrução de NAT no PIX/ASA para operar conforme o esperado.

Instruções Múltiplas de NAT com NAT 0

Diagrama de Rede

pix70-nat-pat-1.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o ISP fornece ao gerente da rede um intervalo de endereços de 172.16.199.1 a 172.16.199.63. O gerente da rede decide atribuir 172.16.199.1 à interface interna do roteador da Internet e 172.16.199.2 à interface externa do PIX/ASA.

O administrador de rede já possui um endereço Classe C atribuído à rede, 192.168.200.0/24, e também algumas estações de trabalho que utilizam esses endereços para acessar a Internet. O endereço dessas estações de trabalho não deve ser convertido. No entanto, as estações de trabalho novas recebem endereços na rede 10.0.0.0/8, e esses precisam ser convertidos.

Para atender a esse design de rede, o administrador da rede deve usar duas instruções de NAT e um pool global na configuração do PIX/ASA, conforme mostrado nesta saída:

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 192.168.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0 

Esta configuração não converte o endereço de origem de nenhum tráfego de saída da rede 192.168.200.0/24. Ela converte um endereço de origem na rede 10.0.0.0/8 em um endereço no intervalo de 172.16.199.3 a 172.16.199.62.

Estes passos fornecem uma explicação de como aplicar esa mesma configuração usando o Adaptive Security Device Manager (ASDM).

Nota: Execute todas as alterações na configuração com a interface de linha de comando ou o ASDM. Usar tanto a linha de comando quanto o ASDM para efetuar alterações na configuração causa um comportamento extremamente errático em termos do que é aplicado pelo ASDM. Isso não é um defeito, mas ocorre devido à forma como o ASDM trabalha.

Nota: Quando o ASDM é aberto, ele importa a configuração atual do PIX/ASA e trabalha nessa configuração quando você implementa e aplica alterações. Se uma alteração for feita no PIX/ASA enquanto a sessão do ASDM estiver aberta, o ASDM não mais trabalhará com a configuração que ele "acredita" ser a mais atual do PIX/ASA. Certifique-se de fechar todas as sessões do ASDM antes de fazer alterações na configuração via interface de linha de comando. Em seguida, abra o ASDM novamente quando desejar trabalhar com a interface gráfica novamente.

  1. Inicie o ASDM, navegue para a guia Configuration e clique em NAT.

  2. Clique em Add para criar uma nova regra.

    pix70-nat-pat-2.gif

  3. Uma nova janela é exibida e permite que o usuário altere as opções de NAT para esta entrada de NAT. Para este exemplo, execute o NAT nos pacotes recebidos na interface interna provenientes da rede 10.0.0.0/24 específica.

    O PIX/ASA converte esses pacotes em um pool de IPs dinâmicos na interface externa. Após inserir as informações que descrevem o tráfego ao qual o NAT será aplicado, defina um pool de endereços IP para o tráfego convertido. Clique em Manage Pools para adicionar um novo pool de IPs.

    pix70-nat-pat-3.gif

  4. Escolha outside e clique em Add.

    pix70-nat-pat-4.gif

  5. Especifique o intervalo de IPs para o pool e atribua a ele um número de ID inteiro exclusivo.

    pix70-nat-pat-5.gif

  6. Após inserir os valores apropriados e clicar em OK, você poderá ver o novo pool definido para a interface externa.

    pix70-nat-pat-6.gif

  7. Após definir o pool, clique em OK para retornar à janela de configuração da regra de NAT.

    Certifique-se de escolher o pool correto que acabou de criar no menu suspenso Address Pool.

    pix70-nat-pat-7.gif

  8. Você acabou de criar uma conversão de NAT através do Security Appliance. No entanto, você ainda precisa criar a entrada de NAT que especifica o tráfego que não será convertido. Clique em Translation Exemption Rules na parte superior da janela. Em seguida, clique em Add para criar uma nova regra.

    pix70-nat-pat-8.gif

  9. Escolha a interface inside como a origem e especifique a sub-rede 192.168.200.0/24. Mantenha os valores "When connecting" padrão.

    pix70-nat-pat-9.gif

  10. As regras de NAT foram definidas. Clique em Apply para aplicar as alterações na configuração em execução atual do Security Appliance.

    Esta saída mostra as adições reais que foram aplicadas à configuração do PIX/ASA. Elas são ligeiramente diferentes dos comandos inseridos com o método manual, mas são equivalentes.

    access-list inside_nat0_outbound extended permit
    ip 192.168.200.0 255.255.255.0 any
    
    global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192
    
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 10.0.0.0 255.255.255.0

Pools Globais Múltiplos

Diagrama de Rede

pix70-nat-pat-10.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o gerente da rede possui dois intervalos de endereços IP que estão registrados na Internet. O gerente da rede deve converter todos os endereços internos, que pertencem ao intervalo 10.0.0.0/8, em endereços registrados. Os intervalos de endereços IP que o gerente da rede deve utilizar são de 172.16.199.1 a 172.16.199.62 e de 192.168.150.1 a 192.168.150.254. O gerente da rede pode fazer o seguinte:

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

global (outside) 1 192.168.150.1-192.168.150.254 netmask 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

No NAT dinâmico, a instrução mais específica é aquela que tem precedência quando você usa a mesma interface em global.

nat (inside) 1 10.0.0.0 255.0.0.0
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 1 172.16.1.1
global (outside) 2 192.168.1.1

Se a rede interna for 10.1.0.0, NAT global 2 terá precedência sobre 1 já que é mais específica para a conversão.

Nota: Um esquema de endereçamento por curingas é utilizado na instrução de NAT. Essa instrução informa ao PIX/ASA para converter qualquer endereço de origem interno à medida que ele é transmitido para a Internet. O endereço nesse comando pode ser mais específico, se desejado.

Instruções Globais de NAT e PAT Mistas

Diagrama de Rede

pix70-nat-pat-11.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o ISP fornece ao gerente da rede um intervalo de endereços de 172.16.199.1 a 172.16.199.63 para uso da empresa. O gerente da rede decidiu usar 172.16.199.1 para a interface interna do roteador Internet e 172.16.199.2 para a interface externa do PIX/ASA. Restam os endereços 172.16.199.3 a 172.16.199.62 para uso com o pool de NAT. No entanto, o gerente da rede sabe que, a qualquer momento, pode haver mais de sessenta pessoas tentando sair do PIX/ASA. Assim, ele decide usar 172.16.199.62 e torná-lo um endereço PAT para que vários usuários possam compartilhar um único endereço ao mesmo tempo.

global (outside) 1 172.16.199.3-172.16.199.61 netmask 255.255.255.192

global (outside) 1 172.16.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Esses comandos instruem o PIX/ASA a converter o endereço de origem para 172.16.199.3 a 172.16.199.61 para os primeiros cinquenta e nove usuários usuários internos que tentam atravessar o PIX/ASA. Depois que esses endereços se esgotarem, o PIX converterá todos os endereços de origem subsequentes para 172.16.199.62 até que um dos endereços no pool de NAT seja liberado.

Nota: Um esquema de endereçamento por curingas é utilizado na instrução de NAT. Essa instrução informa ao PIX/ASA para converter qualquer endereço de origem interno à medida que ele é transmitido para a Internet. O endereço nesse comando pode ser mais específico, se desejado.

Instruções NAT Múltiplas com Lista de Acesso NAT 0

Diagrama de Rede

pix70-nat-pat-12.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o ISP fornece ao gerente da rede um intervalo de endereços de 172.16.199.1 a 172.16.199.63. O gerente da rede decide atribuir 172.16.199.1 à interface interna do roteador da Internet e 172.16.199.2 à interface externa do PIX/ASA.

No entanto, neste cenário, outro segmento da LAN privada é colocado fora do roteador da Internet. O gerente da rede prefere não desperdiçar os endereços do pool global quando os hosts nessas duas redes se comunicam uns com os outros. Ele ainda precisa converter o endereço de origem para todos os usuários internos (10.0.0.0/8) à medida que eles saem para a Internet.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Essa configuração não converte esses endereços com um endereço de origem 10.0.0.0/8 e um endereço de destino 192.168.1.0/24. Ela converte o endereço de origem de qualquer tráfego iniciado dentro da rede 10.0.0.0/8 com destino a qualquer local diferente de 192.168.1.0/24 em um endereço do intervalo de 172.16.199.3 a 172.16.199.62.

Se tiver acesso a saída de um comando write terminal do seu dispositivo Cisco, você poderá usar a Output Interpreter Tool (somente clientes registrados).

Uso de NAT com Base em Políticas

Diagrama de Rede

pix70-nat-pat-10.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Quando você usa uma lista de acesso com o comando nat para qualquer ID de NAT diferente de 0, o NAT com base em políticas é habilitado.

Nota: O NAT com base em políticas foi introduzido na versão 6.3.2.

O NAT com base em políticas permite identificar o tráfego local para a conversão de endereços quando você especifica os endereços de origem e de destino (ou portas) em uma lista de acesso. O NAT regular usa somente endereços/portas de origem, enquanto que o NAT com base em políticas usa ambos os endereços/portas de origem e destino.

Nota: Todos os tipos de NAT oferecem suporte ao NAT com base em políticas, com exceção da isenção de NAT (nat 0 access-list). A isenção de NAT utiliza uma lista de controle de acesso para identificar os endereços locais, mas difere do NAT com base políticas porque as portas não são consideradas.

Com o NAT com base em políticas, é possível criar várias instruções estáticas ou de NAT que identificam o mesmo endereço local contanto que a combinação de origem/porta e destino/porta seja exclusiva para cada instrução. Em seguida, você pode combinar diferentes endereços globais a cada par origem/porta e destino/porta.

Neste exemplo, o gerente da rede precisa fornecer acesso ao endereço IP de destino 172.30.1.11 para a porta 80 (web) e a porta 23 (Telnet), mas deve utilizar dois endereços IP diferentes como um endereço de origem. O endereço IP 172.16.199.3 é usado como o endereço de origem da Web. O endereço IP 172.16.199.4 é usado para o Telnet e deve converter todos os endereços internos, os quais pertencem ao intervalo 10.0.0.0/8. O gerente da rede pode fazer o seguinte:

access-list WEB permit tcp 10.0.0.0 255.0.0.0 192.168.201.11
255.255.255.255 eq 80

access-list TELNET permit tcp 10.0.0.0 255.0.0.0 192.168.201.11
255.255.255.255 eq 23

nat (inside) 1 access-list WEB

nat (inside) 2 access-list TELNET

global (outside) 1 172.16.199.3 netmask 255.255.255.192

global (outside) 2 172.16.199.4 netmask 255.255.255.192

Você pode usar a Output Interpreter Tool (somente clientes registrados) para exibir problemas e correções potenciais.

NAT Estático

Diagrama de Rede

pix70-nat-pat-13.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Uma configuração de NAT estático cria um mapeamento um para um e converte um endereço específico em outro endereço. Esse tipo de configuração cria uma entrada permanente na tabela de NAT, desde que a configuração esteja presente e permita que os hosts internos e externos iniciem uma conexão. Isso é mais útil para hosts que fornecem serviços de aplicativos, como correio eletrônico, Web, FTP e outros. Neste exemplo, as instruções de NAT estático são configuradas para permitir que os usuários internos e os usuários externos acessem o servidor Web na DMZ.

A saída mostra como uma instrução estática é construída. Observe a ordem dos endereços IP mapeados e reais.

static (real_interface,mapped_interface) mapped_ip real_ip netmask mask

Esta é a conversão estática criada para fornecer aos usuários na interface interna acesso ao servidor na DMZ. Ela cria um mapeamento entre um endereço interno e o endereço do servidor na DMZ. Os usuários internos podem então acessar o servidor na DMZ via endereço interno.

static (DMZ,inside) 10.0.0.10 192.168.100.10 netmask 255.255.255.255

Esta é a conversão estática criada para fornecer aos usuários na interface externa acesso ao servidor na DMZ. Ela cria um mapeamento entre um endereço externo e o endereço do servidor na DMZ. Os usuários externos podem então acessar o servidor na DMZ via endereço externo.

static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255

Nota: Como a interface externa possui um nível de segurança inferior ao da DMZ, uma lista de acesso também deve ser criada para permitir que os usuários externos acessem o servidor na DMZ. A lista de acesso deve conceder aos usuários acesso ao mapped address na conversão estática. Recomenda-se que essa lista de acesso seja tornada a mais específica possível. Nesse caso, qualquer host recebe permissão para acessar somente as portas 80 (www/http) e 443 (https) do servidor Web.

access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https

A lista de acesso deve então ser aplicada à interface externa.

access-group OUTSIDE in interface outside

Consulte access-list Estendido e access-group para obter mais informações sobre os comandos access-list e access-group.

Verificação

Muito provavelmente, o tráfego que atravessa um Security Appliance deve ser convertido pelo NAT. Para verificar as conversões que estão sendo usadas no Security Appliance, consulte PIX/ASA : Monitoração e Troubleshooting de Problemas de Desempenho.

O comando show xlate count exibe o número atual e o máximo de conversões no PIX. Uma conversão é um mapeamento de um endereço interno em um endereço externo e pode ser um mapeamento um para um, como o NAT, ou um mapeamento muitos para um, como o PAT. Este comando é um subconjunto do comando show xlate, o qual produz todas as conversões no PIX. A saída do comando mostra as conversões "in use", o que significa o número de conversões ativas no PIX quando o comando é executado. "most used" refere-se às conversões mais comuns que já foram observadas no PIX desde que ele foi ligado.

Troubleshooting

No momento, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 64758